Vladimir.Petrov 0 Опубликовано 14 июня, 2018 Share Опубликовано 14 июня, 2018 Добрый день. Вот и у нас вирус. Похоже декриптор. Файлы закодировались с расширением [decrypthelp@qq.com].arrow.Лог вложил. CollectionLog-2018.06.14-09.19.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 14 июня, 2018 Share Опубликовано 14 июня, 2018 Здравствуйте! Увы, расшифровки для этого типа вымогателя нет. Очень устаревшая версия антивируса у Вас установлена. Обновите. Для очистки следов и мусора дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Vladimir.Petrov 0 Опубликовано 14 июня, 2018 Автор Share Опубликовано 14 июня, 2018 FRST.txt и Addition.txt Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 14 июня, 2018 Share Опубликовано 14 июня, 2018 Заражение точно произошло на этом компьютере? Ссылка на сообщение Поделиться на другие сайты
Vladimir.Petrov 0 Опубликовано 14 июня, 2018 Автор Share Опубликовано 14 июня, 2018 Заражение точно произошло на этом компьютере? Это лог с сервера. Зашифрованы файлы в общей папке на сервере. Буду проверяю остальные компьютеры(прим.50) Ссылка на сообщение Поделиться на другие сайты
Vladimir.Petrov 0 Опубликовано 14 июня, 2018 Автор Share Опубликовано 14 июня, 2018 AVZ при скане выдает вот это(и после сканирования FRST тоже .Надо FIX? 7. Эвристичеcкая проверка системы>>> C:\WINDOWS\system32\CIMntfy\CIMntfy.exe ЭПС: подозрение на Trojan-Ransom.Win32.Scatter (высокая степень вероятности)>>> C:\WINDOWS\system32\CPQNiMgt\CPQNiMgt.exe ЭПС: подозрение на Trojan-Ransom.Win32.Scatter (высокая степень вероятности) Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 14 июня, 2018 Share Опубликовано 14 июня, 2018 Я видел. Это от продуктов HP. Для верности, проверьте эти файлы на www.virustotal.com Результат покажите (ссылку на него вставьте в сообщение). Ссылка на сообщение Поделиться на другие сайты
Vladimir.Petrov 0 Опубликовано 14 июня, 2018 Автор Share Опубликовано 14 июня, 2018 еще лог №2 №3 Addition.txt FRST.txt Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 14 июня, 2018 Share Опубликовано 14 июня, 2018 Во избежание путаницы, создавайте для каждого ПК отдельную тему и начинайте с CollectionLog средствами Автологера. проверьте эти файлы на www.virustotal.com Результат покажите (ссылку на него вставьте в сообщение)Проверили? Ссылка на сообщение Поделиться на другие сайты
Vladimir.Petrov 0 Опубликовано 14 июня, 2018 Автор Share Опубликовано 14 июня, 2018 Проверил https://www.virustotal.com/#/file/38e8d195dbdde29a921b9a4c02a5d8141be2cb433ef5fb336310b7a29b18a785/detection https://www.virustotal.com/#/file/176be6dadb9d7d77109ba1e3cca7cb2946691e5e2d2afabf8a9c24437b9e4531/detection Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 14 июня, 2018 Share Опубликовано 14 июня, 2018 Для этого компьютера проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Ссылка на сообщение Поделиться на другие сайты
Vladimir.Petrov 0 Опубликовано 15 июня, 2018 Автор Share Опубликовано 15 июня, 2018 https://virusinfo.info/virusdetector/report.php?md5=A86F78AB726608CD4E2DFD84B130A25C 1 Ссылка на сообщение Поделиться на другие сайты
Vladimir.Petrov 0 Опубликовано 15 июня, 2018 Автор Share Опубликовано 15 июня, 2018 Подскажите,как определить откуда шифровальщик запустился?RDP или по почте? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 15 июня, 2018 Share Опубликовано 15 июня, 2018 Возможны оба варианта. Пароль на RDP смените так или иначе. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 15 июня, 2018 Share Опубликовано 15 июня, 2018 (изменено) Platform: Microsoft® Windows® Server 2003, Enterprise Edition Service Pack 2 (X86) Language: English (United States) Internet Explorer Version 6 (Default browser: Opera) Сервер не обновляется вот и ломанули с помощью эксплойта или банального перебора если политики не настроены. ==================== Accounts: ============================= Administrator (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile Это вообще не безопасно. Гораздо проще подбирать пароли к стандартным учетным записям Windows, чем к нестандартным УЗ. Зачем Вам 3 УЗ Администратора? Порт 3389 у Вас открыт на сервере? administartor (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile administrator$ (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile Изменено 15 июня, 2018 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти